rsyslog wyklucza dzienniki oparte na nazwie hosta

0

Mamy skonfigurowany serwer rsyslog do przekazywania wiadomości do naszego pudełka Splunk. Chcemy jednak przejść przez część hałasu, dlatego stworzyliśmy specjalne programy, które nie będą brane pod uwagę. Więc zasadniczo, jeśli logi są dhcpd, upuść. Przekaż wszystko inne.

if $programname != 'dhcpd' then @@0.0.0.0:514

Czy istnieje sposób na wykluczenie pewnych nazw hostów na podstawie słów w tych nazwach hostów. Na przykład:

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

Wersja 5.8.10

deadlisting
źródło
Której wersji rsyslog używasz?
ebal
rsyslog wersja 5.8.10
deadlisting

Odpowiedzi:

0

Najlepiej byłoby pobrać dzienniki do Splunk, a następnie upuścić swój UniversalFowarder lub Indexer. Znacznie łatwiej jest to dostosować za pomocą Splunk, a następnie modyfikując rsyslog. Możesz to zrobić za pomocą rekwizytów i transformacji.

Ustaw, czego potrzebujesz props.conf A później transforms.conf

Chciałbym użyć wyrażenia regularnego.

W twoich props.conf:

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

W twoim pliku transforms.conf:

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue
MooseQuest
źródło